Home > Blogs > Japan Cloud Infrastructure Blog > 月別アーカイブ: 2016年8月

月別アーカイブ: 2016年8月

VMware vRealize Operations Manager (vROps) をパワーアップしよう!

4回目:3rd Party Management Packs (F5/NetApp/UCS)

– Back Number –
#1…カスタムダッシュボードって難しいの?
#2…SDDC Management Packs (VSAN/NSX)
#3…3rd Party Management Packs (Deep Security)
#4…3rd Party Management Packs (F5/NetApp/UCS)

こんにちは、ソフトバンク コマース&サービスの中川明美です。

4回目は、3rd Partyの管理パックについてご紹介します。ここでは特にカスタムダッシュボード作成時のデザイン構成の参考にしていただけたらと思います。
カスタムダッシュボードを作成する段になると、どう構成するのが最適なのかを悩みませんか。少なくとも私は悩みます(笑)。
管理パックは、まさにカスタムダッシュボードです。カスタムダッシュボードの構成要素とレイアウトのヒントになればと考え、
3社「F5ネットワークス/NetApp/シスコシステムズ」の管理パックをピックアップしました。並べてみると、新たな発見があります!
またエンドユーザー様からよくご質問を受ける、「ダッシュボード活用法」の回答を共有します。ぜひ参考にしてください!

◆管理パックの入手方法◆

下図は、「VMware Solution Exchange」の画面です。
3社の管理パックである、「F5 BIG-IP」「NetApp Storage」「Cisco UCS」は、Blue Medora社から提供されています。
「Cisco UCS」はシスコシステムズ社からも提供されています。
Solution-Exchange

Blue Medora社はvROpsの3rd partyの開発会社です。こちらのURLから、各管理パックの評価版をダウンロードできます。管理パック名をクリックし、表示されたウィンドウで「Try」ボタンをクリックします。
https://solutionexchange.vmware.com/store/companies/blue-medora

順に3社の管理パックを見ていきましょう。

◆F5 BIG-IP◆

「F5 BIG-IP」は、VMware Horizon環境で、「セキュリティ」や「Connection Serverの負荷分散」を目的に提案される製品の一つですね。F5 BIG-IP製品の詳細については、F5ネットワークスジャパン合同会社のURLをご確認ください。

https://f5.com/jp/products/big-ip

7あるタブの中から、「F5 BIG-IP World Overview」タブを選択しました。このタブは、「スコアボード(赤枠)」「ヒートマップ(青枠)」「オブジェクトリスト(緑枠)」から構成されています。
スコアボードは、メトリックや測定単位、カラーメソッドを表示できるのが特長的です。
こちらのスコアボードからは、各コンポーネントを構成するオブジェクトの健全性と下位オブジェクト数を確認できます。また3列にすることで、より多くの情報を表示できます
F5-Overview

————————————————————————————————————————-

複数列を並べるには?
vROps 6.2.1では、列数を指定するのではなく、ウィジェットリストから必要なウィジェットをドラッグ&ドロップで並べます。4つまで並べてみましたが、見やすさを考えると、3つまでがお勧めです!
Widget

 

◆NetApp Storage◆

ネットアップ株式会社は、外資系ストレージベンダーです。ネットアップ社のストレージは、vSphere基盤で使用するNASストレージとして私は知りました。ネットアップ株式会社のストレージ製品の詳細については、こちらのURLをご確認ください。
http://www.netapp.com/jp/products/storage-systems/

11あるタブの中から、「NetApp SVM QoS」タブを選択しました。このタブは、「オブジェクトリスト(赤枠)」「表示(ビュー)(緑枠)」「スコアボード(青枠)」から構成されています。
オブジェクトリストは、複数の表示方法(フィルタリング)が提供されています。たとえば、「オブジェクト」というグループ単位、または「オブジェクト名」という個の単位があります。フィルタリングの設定によって、リスト内の表示内容を変えることができます。
こちらのタブの「オブジェクトリスト」は、「Virtual Machine」「Volume」「Datastore」のオブジェクト単位で表示されています。左側の「オブジェクトリスト」で任意の下位オブジェクトを選択すると、右側の「ビュー(リスト)」または「スコアボード」で、選択した下位オブジェクトと関連したデータが表示されるように設定されています
Netapp-SVM
————————————————————————————————————————-

スコアボードの内容を変更するには?
このカスタムダッシュボードは、クラスタ単位のリソースが表示されるように設定しています。リソースは、左側に「CPU」「メモリ」「ディスク」の総容量、右側にCPUとメモリの使用率およびディスクの使用量を表示します。
Object-List

次の手順で、ダッシュボードを新規作成します!
※詳細な手順は、「#1_カスタムダッシュボードって難しいの?」を参考にしてください。

  1. 「ウィジェットリスト」から、「オブジェクトリスト」と「スコアボード」をドラッグ&ドロップ
  2. 「ウィジェットの相互作用」で、選択したオブジェクトを「オブジェクトリスト→スコアボード」に設定

「スコアボード」をドラッグ&ドロップした直後は、意図した情報ではありませんね。

Object-List2

 

「オブジェクトリスト」にはクラスタ名が表示されるように編集し、「スコアボード」には意図した情報が表示されるようにメトリックの作成および指定をします。

オブジェクトリストの編集

「フィルタリングするタグの選択」から、「クラスタコンピューティングリソース」を選択します。「クラスタコンピューティングリソース」は、「オブジェクトタイプ」内にあります。

Edit-Object-List

 

メトリックの作成

今回は「sampleScoreboard.xml」をコピーし、新規作成しています。他に、「vRealize Operationsメトリック、プロパティ、およびアラートの定義」ドキュメントを参考にしました。

Metric-Management

 

スコアボードの編集

スコアボードの内容を意図した情報にするために、作成したメトリックを指定します。

Edit-Scoreboard

◆Cisco UCS◆

Cisco UCSは、シスコシステムズ合同会社が提供するサーバー製品です。先のNetAppストレージと、Cisco UCSサーバーおよびNexusスイッチの統合基盤である、FlexPodでも知られていますね。シスコシステムズ合同会社のユニファイド コンピューティング製品の詳細については、こちらのURLをご確認ください。
http://www.cisco.com/c/ja_jp/products/servers-unified-computing/product-listing.html

5あるタブの中から、「UCS Fabric Interconnect Overview 」タブを選択しました。このタブは、「オブジェクトリスト(赤枠)」「健全性チャート(紫枠)」「スコアボード(青枠)」「オブジェクトの関係(オレンジ枠)」「メトリックビュー(緑枠)」から構成されています。
こちらのタブでは、オブジェクトリストでオブジェクトを選択すると、複数の関連情報が表示されます。たとえば、左上の「Fabric Interconnects」オブジェクトリストで「UCS Adapter sys/switch-B」を選択すると、健全性、ステータス、スイッチを中心とした他のオブジェクトとの関係、アラート、ネットワークスループットが表示されます。そしてパワーサプライの情報がこのタブから得られます。任意のオブジェクトを複数の視点で分析したい場合、異なる複数のウィジェットで連携させると便利ですね。

UCS-Overview

 

————————————————————————————————————————-

ウィジェットには何があるの?
vROps 6.2.1では、44のウィジェットが提供されます。その中でも使用頻度が高いのではと思われる15のウィジェットをリストアップしました。たくさんありますね。

Widget1Widget2Widget3

◆一番多い質問は?◆

得られる情報が多すぎる、何を確認したらよいのかがわからない。これが私への一番多い質問です。先ほどまでは、「多くの情報を一画面で確認できるのは便利です」と様々な手法をご紹介しました。しかし、使用者のスキルレベルによっては、情報の多さに圧倒されてしまうようです。「多いなら少なくすればよいのでは?」と使用頻度の低いウィジェットを削除することをお勧めしています。
新規でカスタムダッシュボードを作成するのも1つの方法です。そして、デフォルトで提供されているダッシュボードをコピーして、ウィジェットを追加/削除するのもカスタマイズの1つの方法です。

ここでは、「診断」ダッシュボードを例に説明します。
診断に必要な情報が、1つに集約され、使い勝手がよさそうなダッシュボードです。こちらをvSphereの深い知識を持たない方を対象に、カスタマイズしてみました。
メトリックに関するウィジェット(赤枠)を削除し、パフォーマンスに関する「ワークロード」と「ストレス」のバッジ(青枠)はスクロールしない位置に変更しました。メトリックの詳細な値までを必要としない方は、このシンプルなカスタムダッシュボードを使用します。

<変更前>

Before

<変更後>
After

 

まとめ

vROpsの活用方法を知っていただきたく、今回執筆いたしました。導入したものの、活用できていない方々がいらっしゃると聞きます。ぜひこちらのBlogを参考に、vROpsをパワーアップしてみください。それから、活用できていない要因には、シンプルなツールを複雑に捉えているのかなぁという印象もあります。まだまだお伝えしたいことは尽きません。

パート2も企画しております!今後ともよろしくお願いします。

nakagawa

ソフトバンク C&Sのサイトで仮想化健康診断の事例を紹介しています。運用のヒントになるかもしれません。
詳細についは、以下↓↓アイコン↓↓をクリックして下さい!

Logo2

第2回 VMware Virtual SAN(VSAN)搭載アプライアンスVxRailとは? ~ VxRail インストール ~

こんにちは、ネットワールドの石塚 智規です。前回の富士ソフト山本さんの続きとして、ハイパーコンバージドインフラのアプライアンス「VxRail」のセットアップについてご紹介したいと思います。

ishitsuka_mini

その1:導入準備

VxRailの導入のためには以下のようなものが必要です。

 

  1. VxRail
    1箱にアプライアンス本体、電源ケーブル、ベゼルがまとめられています
  2. 10Gbスイッチ
    アプライアンス毎に8個のポートが必要です
    VxRail 60のみ1Gb対応, アプライアンス毎に16個のポートが必要です
  3. 10Gbスイッチに適合したケーブル×8個
    VxRail SFP+モデルのTwinaxケーブルはActive/PassiveのどちらでもOK
  4. 200V電源ポート×2個
    VxRail 60は100V×2個でもOK
  5. Windows PC
    ブラウザとしてFirefoxもしくはChromeをインストール済みであること

 

ネットワークスイッチの構成としては、以下の3つのポイントがあります。 ネットワークの構成検討材料としてEMC/VCEからこちらの資料が提供されています。

http://www.emc.com/collateral/guide/h15300-vce-vxrail-network-guide.pdf

  • Default VLANを構成して下さい(恒久的に利用します)
  • 全てのノード間の管理セグメントにはマルチキャスト通信が必要です
  • 全てのノード間のVSANセグメントにはマルチキャスト通信が必要です

 

また、作業のためのWindows PCのIP設定を変更します。VxRailの初期設定のためには工場出荷時に設定されている管理IPアドレス「192.168.10.200/24」に接続する必要があるからです。初期設定のあと、実運用IPアドレスに継続して接続する必要があるので、その両方のIPアドレスに接続できる状態にしておくと良いかと思います。例えば以下のように実運用セグメントのIPアドレスとして10.10.50.101/16を設定し、初期設定用IPアドレスとして192.168.10.21/24の両方を設定している状態です。

01

続いて準備するパラメータは以下の通りです。VxRailバージョンv3.5からは外部のvCenterやPlatform Service Controllerが利用できるようになっています。

 

<システムパラメータ>

  1. NTPサーバ
  2. DNSサーバ
  3. オプション)Active Directory情報(ドメイン名, ユーザ名, パスワード)
  4. オプション)HTTPプロキシ情報(プロキシサーバIPアドレス, ポート番号, ユーザ名, パスワード)

<管理パラメータ>

  1. ESXiのホスト名(ホスト名は1から始まる通し番号になります)
  2. ESXiのIPアドレス(4つの連続したIPアドレス)
  3. vCenterホスト名
  4. vCenterのIPアドレス(ESXiの管理IPアドレスと同セグメント)
  5. Platform Service Controllerのホスト名
  6. Platform Service ControllerのIPアドレス(ESXiの管理IPアドレスと同セグメント)
  7. VxRail Managerのホスト名(VxRailの管理GUIを提供する仮想マシンのホスト名)
  8. VxRail ManagerのIPアドレス(ESXiの管理IPアドレスと同セグメント)
  9. 上記の管理IPセグメントのネットマスク
  10. 同管理IPセグメントのゲートウェイ
  11. ESXiのパスワード及びvCenter/PSC/VxRail Managerのパスワード
    ※共に複雑性を求められ、特定の記号(&’”;=`\$)は利用できません。
    また、キーフレーズ及びそれに類するものも利用できません。
    例えば Welc0me1! のような複雑性が必要になります。

<vMotionパラメータ>

  1. ESXiのvMotion用IPアドレス(4つの連続したIPアドレス)
  2. 同vMotionセグメントのネットマスク
  3. 同vMotionセグメントのVLAN ID

<Virtual SANパラメータ>

  1. ESXiのVirtual SAN用IPアドレス(4つの連続したIPアドレス)
  2. 同Virtual SANセグメントのネットマスク
  3. 同Virtual SANセグメントのVLAN ID

<仮想マシンネットワークパラメータ>

  1. 仮想マシンネットワーク名(仮想マシンに割り当てるポートグループ名)
  2. 仮想マシンネットワークのVLAN ID

<解決方法パラメータ>

  1. ログサーバ(vRealize Log Insight(バンドル済み)もしくはSyslog)の選択
  2. ログサーバのホスト名
  3. ログサーバのIPアドレス

以上のパラメータを入力後、ボタンを押して15分待てばセットアップが完了、と言うことになります。

 

その2:セットアップ

必要なハードウェア、10Gbスイッチの構成(VxRail 60の場合は1Gbスイッチ)、パラメータの準備ができたら、あとは箱を開けてセットアップするだけです。

02

ネットワーク接続は上記の「1GbEポート」もしくは「10GbEポート」を全て接続します。

03

続いて電源起動ですが、ここでのポイントは電源をノード#4 ⇒ ノード#3 ⇒ ノード#2 ⇒ ノード#1の順番で30秒間隔で起動する、と言うことです。あとは5分程度待てばセットアップが開始できるようになります。初期設定用のIPアドレスである「192.168.10.200/24」にブラウザで接続します。

04

「開始する」ボタンをクリックして、初期設定を開始します。続いて使用許諾に関するページが表示されるので「同意」ボタンをクリックします。

poic

構成方法としてこのままウィザードを使って構成する「ステップバイステップ」とJSONファイルを使った「構成ファイル」の2つの方法が選べます。今回はこのままウィザードを進めたいと思いますので「ステップバイステップ」をクリックします。

05

まずは<システムパラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

06

続いて<管理パラメータ>の入力が促されます。事前に準備しているパラメータを入力ます。また、外部のvCenterを利用する場合は「vCenter Serverの統合」チェックボックスを有効化して、IPアドレスと管理ユーザ情報、そしてVxRailを所属されるデータセンター名とクラスター名を入力します。同様に外部のPlatform Service Controllerを利用する場合は「External Platform Services Controller」チェックボックスを有効化します。パラメータの入力が完了したら「次へ」ボタンをクリックします。

07

続いて<vMotionパラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

08

続いて<Virtual SANパラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

09

続いて<仮想マシンネットワークパラメータ>の入力が促されます。事前に準備しているパラメータを入力します。複数の仮想ネットワークを構成したい場合は「もう1つ追加」をクリックして任意の構成に変更します。完了したら「次へ」ボタンをクリックします。

pic2

最後に<解決方法パラメータ>の入力が促されます。事前に準備しているパラメータを入力して「次へ」ボタンをクリックします。

10

全てのパラメータの入力が終わったら「検証」ボタンをクリックします。正しく構成されていれば「構成が基本検証とネットワーク検証を追加しました。」と言う緑色のメッセージが表示されるので「VxRailの構築」ボタンをクリックして構築を開始します。エラーが表示された場合はその内容を参考にして、スイッチ側の構成や入力したパラメータをチェックし、再度「検証」ボタンをクリックします。

11

無事、セットアップが開始されると初期設定で利用していた工場出荷状態のIPアドレス(192.168.10.200)から実運用で利用するIPアドレスへ変更されます。「構成の開始」ボタンをクリックします。

12

ここから自動的な構成が始まります。100%になるまで15分程度待ちます。万が一、途中で止まってしまった場合は表示されたエラーメッセージや右下にある「ログの表示」をクリックして状態を確認します。

13

無事、構成が完了されたら「VxRailの管理」ボタンをクリックして、管理GUIであるVxRail Managerのログイン画面に移動します。

14

VxRail ManagerにはvCenterと同じユーザ名/パスワードでログインします。VxRailアプライアンス内にvCenter/PSCを配置している場合はadministrator@vsphere.localユーザを利用して下さい。

15

これがVxRail Managerの管理画面です。セットアップ直後は幾つかのエラーが記録されることがありますが、これは次回でご紹介したいと思います。

 

VxRail ブログ ~ 全 6回 ~

#1…VxRail & VSAN Overview

#2…VxRail インストール

#3…VxRail の運用と管理:前編 VxRail Managerのご紹介

#4…VxRail の運用と管理:後編 運用についての良くあるご質問

#5…VxRail によるデータ管理の向上

#6…VxRail のサイジングと設定について

VSAN Cormac Blog 〜VSAN 6.2 VM スワップ オブジェクトに関する新機能〜

本 blog は VMware Storage and Availability Business Unit の Cormac Hogan Blog の翻訳になります。 VSAN をより深く知っていただき活用していただく為、本記事の翻訳がお役に立てば幸いです。

このブログを開いた時点でVSANをよく理解している方々は、仮想マシンをデプロイすると、VSANデータストア上ではオブジェクトのセットとしてデプロイされ、従来のようにデータストアにデプロイされるようなファイルのセットではないことをご存知でしょう。VSANのオブジェクトには、仮想マシンのホームネームスペース、VMDK、そしてVMスワップが含まれます。VMスワップは、仮想マシンがパワーオンされている時にのみ存在しますが、VSAN上では常に100%のオブジェクトスペースが予約されてプロビジョニングされます。このことで容量を大量に消費することになり、課題となっていました。例えば、8GBメモリの仮想マシンを100台デプロイすると、800GBのディスク容量がVMスワップとしてプロビジョニングされます。これは、仮想マシンがリソース起因の問題を発生させないために予約された容量です。

VSAN 6.2からは、VMスワップの領域をシンプロビジョニングのようにデプロイ出来るようになりました。

注意点として、この設定はVSANクラスター内の全てのESXiホスト上で SwapThickPrivisionDisabled を有効にする設定が必要です。この設定はデフォルトでは無効になっています。

[root@esxi-a-pref:~] esxcfg-advcfg -g /VSAN/SwapThickProvisionDisabled
Value of SwapThickProvisionDisabled is 0

有効化するには:

[root@esxi-a-pref:~] esxcfg-advcfg -s 1 /VSAN/SwapThickProvisionDisabled
Value of SwapThickProvisionDisabled is 1

 

今、VSANデータストア上の仮想マシンがパワーオンされた時、それらのVMスワップオブジェクトがシンプロビジョニングされます。すなわち、100%のオブジェクトスペースリザベーションポリシーはもう実装されません。

VSAN 6.2の容量ビューのスクリーンショットをいくつか掲載します。デフォルト設定状態でVMスワップを持つ仮想マシン、そして仮想マシンの電源をオフし、全てのホストに対して SwapThickPrivisionDisabled を有効化した後に、再度電源をオンしました。

最初のスクリーンショットは、オブジェクトタイプ毎のグループによる容量ビューです。約10台の仮想マシンが、合計でスワップスペースを84.09GB消費しています。これは、デフォルトオブジェクトスペースリザベーション100%を使用しています。

vsan62-part-5-1-swap-before

 

次に、仮想マシンをパワーオフし、 SwapThickPrivisionDisabled の設定をESXiホストに対して変更をかけました。予想される通り、VSANデータストア上でスペースを消費しているVMスワップオブジェクトはありません。

vsan62-part-5-2-swap-vm-off

 

最後に、パラメーターの設定された仮想マシンを再度パワーオンします。スワップオブジェクトがデフォルト状態とは大きく異なり、容量を88MBしか消費していないことを確認することができるでしょう。

vsan62-part-5-3-swap-thin

 

この新機能により、VSAN利用時における容量消費をかなり抑えることが可能になります。抑えられる容量は、いくつの仮想マシンをデプロイするか、またどの程度大きいVMスワップスペースか(本質的に仮想マシンにアサインされた予約されていないメモリーのサイズ)に依存します。

 

原文:VSAN 6.2 Part 5 – New Sparse VM Swap Object
VMware Storage and Availability Business Unitの シニアスタッフエンジニアCormac Horganの個人ブログを翻訳したものになります。VSANの詳細に関しては弊社マニュアル 、KBをご確認ください。また本記事は VSAN 6.2ベースに記載しております。予めご了承ください。

VMware vRealize Operations Manager (vROps) をパワーアップしよう!

3回目:3rd Party Management Packs (Deep Security)

– Back Number –
#1…カスタムダッシュボードって難しいの?
#2…SDDC Management Packs (VSAN/NSX)
#3…3rd Party Management Packs (Deep Security)
#4…3rd Party Management Packs (F5/NetApp/UCS)

こんにちは、ソフトバンク コマース&サービスの中川明美です。
3回目は、トレンドマイクロ株式会社の製品「Trend Micro Deep Security」とvROpsの連携についてご紹介します。今回は、トレンドマイクロのvExpert 姜(かん)さんと二人で進めます。

◆vROpsと連携できるの?◆
姜さんからおうかがいするまで、Trend Micro Deep Security (以降Deep Security)とvROpsが連携できることを知りませんでした。
私が興味深かったのは、「CPU PERFORMANCE」の画面(左の図)です。「CPU使用率」と「セキュリティイベント」を並べて監視することができます。リソースへの影響をセキュリティイベントから確認できるのは、おもしろい視点ですね!

下図では、セキュリティイベント数が高くなると同時にCPU使用率も高くなっています。この結果から、高いCPU使用率の原因は、セキュリティイベントであろうと推察できます。
Deep Securityをお使いの環境で、仮想マシンのCPU使用率が高い場合、「CPU PERFORMANCE」の画面も確認しておくのが必須ですね。「なぜCPU使用率が高いのか」を、複数ある事象から原因を特定する際に、工数を短縮できそうです。
また、「SECURITY MODULES」の画面(右の図)では、どのイベントが影響を及ぼしているのかを確認できます。ここでは、「ファイアウォールイベント」と「不正プログラム」イベントが「セキュリティ イベント数」と関連しているようです。どちらのイベントも気になりますね!

vROps-DeepSecurity

 

◆アラートの一括表示も便利◆
Deep Security Managerで検知したアラートを集中管理できるのも便利ですね。1つのツールでインフラ情報とイベント情報を管理することができます。

Alert

 

ここから、姜さんの登場です!
vROpsとDeep Securityが連携することによって、どのような情報が得られるのかをご説明いただきます。
————————————————————————————————————————-
みなさん、こんにちは!
トレンドマイクロ株式会社の姜(かん)と申します。
今回の共同執筆に関しては、中川さんの旧友である弊社インフォメーションサービス本部の今泉からの紹介で実現いたしました。
というのも、弊社インフォメーションサービス本部ではDeep Security + VMware NSX + VMware Horizon + VMware Virtual SAN + VMware vRealize Operations for Horizonという構成で社内のサービスを提供しており、Deep SecurityとvROpsの連携も利用しているのです!

ではさっそくですが、Deep Security とvROpsの連携について説明いたします。

◆Deep Securityって?◆
Deep Securityをご存じない方、いらっしゃると思いますので簡単にご説明します。1つの製品でサーバやVDIの保護に必要なセキュリティをご用意した統合型ソリューションです。


DeepSecurity
VMware社製品との連携ですと、下図真ん中のエージェントレス型とVDIの組み合わせで多くのお客様にご利用いただいております。

DeepSecurity2

 

◆Deep SecurityとvROpsの連携って?◆
管理パックを利用することにより、Deep Security Managerで管理しているステータスやイベント情報がvROpsのコンソールから確認できます。
これによりインフラだけではなく、セキュリティのイベントも、vROpsを利用し統合して可視化することが可能です。

DeepSecurity3

 

◆主なユースケースは?◆
vROps連携で提供できる主な機能は、
・パフォーマンス分析
・セキュリティ分析
となります。

【パフォーマンス分析】は、サーバリソースへの影響をセキュリティイベントから考察するものとなります。
代表的な例としては、中川さんが前述しているような、「サーバのCPU使用率が上昇したけれどインフラ側面からはおかしなことは発生していない」「アクセス過多やキャンペーンも特に行っていない」といった時に、セキュリティ観点で調査をするとセキュリティイベントを多数検知しており、実は何らかの攻撃を受けていたといったものとなります。

【セキュリティ分析】は、各コンピュータのセキュリティイベント傾向を把握するために、「全体 ⇒ 個」へドリルダウンし、イベントの傾向分析を行いやすくするためのものとなります。

ここから、【セキュリティ分析】の主なユースケースについてご紹介します。

◆Heat Map分析◆
こちらはvROpsでもおなじみのHeat Mapですね。
「不正プログラム」や「脆弱性対策」といったセキュリティの機能ごとにMapを表示しますから、各コンピュータのセキュリティ状態や傾向を種別ごとに把握することが可能です。
「Total」には各コンピュータのセキュリティ状態の合計が表示されますので、組織の中で攻撃を受けやすいコンピュータを一目で把握できるようになります。

CustomDashboard-DeepSecurity

次に、Heat Map分析の使用例です。
営業、開発、人事といった各部門がコンピュータを利用しており、営業部門の【不正プログラム】には赤いコンピュータがいくつか存在しています。
これは、営業部門が所有しているコンピュータが不正プログラムに感染し、その後潜伏活動を経て別の端末に横感染活動している可能性が考えられます。
更に【Webレピュテーション】を確認すると、不正プログラムに感染している端末のうち2台から外部へ不審な通信が発生していることがわかります。おそらく外部の不正なサーバへ接続した後に、更に不正なプログラムをダウンロードしようとしていたのではと考えられます。
こういった一連の動きがインフラ側から可視化できるだけではなく、組織全体に対する攻撃傾向を把握し、対策を検討していくことも可能かと思います。

Heatmap

 

◆Metric Graph分析◆
前述のHeat Mapをドリルダウンすることで下図のように各コンピュータの傾向を把握できる【Metric Grap】を閲覧できます。
各コンピュータにおける、「一定期間内でのピークタイム」や「各種イベント発生頻度」の把握が可能となります。
「どの時間帯に攻撃を受けやすいのか?」「どういった攻撃を頻繁に受けているのか?」といったことを確認できます。

Metric

 

◆Top “N”分析◆
Top”N”は各コンピュータのセキュリティイベントを分析し、頻繁にイベントが発生しているコンピュータを抽出します。下図は「脆弱性対策」のイベント数となりますが、「Firewall」、「Webレピュテーション」、「変更監視」や「不正プログラム対策」のTop”N”も利用できるため、セキュリティ種別ごとに攻撃を受けているコンピュータをリスト化できます。

TopN

 

◆管理パックの入手方法◆
管理パックはトレンドマイクロのSoftware Download Centerから入手可能となっております。
下記URLへアクセス頂き、「Tools/Utilities」タブをクリックして頂くと管理パックがダウンロード可能となります。
http://downloadcenter.trendmicro.com/index.php?regs=NABU&clk=latest&clkval=4855&lang_loc=1
ManagementPack

注1)Deep Securityの管理パックは無償でご利用可能です。
注2)管理パックは日本語OSでもご利用可能です。(メニューは英語表記のままとなります)

セキュリティはインフラと密接に関係していますが、運用管理の面では製品間連携ができていないかと思います。また使い勝手が悪く敬遠されがちかと思いますが、そういったお悩みをお持ちの方は、ぜひこの機会に触ってみていただければと思います。

それでは、中川さんにお返しします。

————————————————————————————————————————-

姜さん、私も勉強になりました!
「セキュリティ」に関する運用は、本当に大変だと思います。情報をすばやく入手し、対応できる環境を準備するのは、もはや前提なのかもしれませんね!

今回は、トレンドマイクロ株式会社 インフラストラクチャーサービス課 テクニカルマネージャーの今泉 芳延氏に企画をもちかけられ、トレンドマイクロ株式会社とソフトバンク コマース&サービス株式会社のvExpertでBlogを共同執筆するにいたりました。
今泉氏がサービスを提供されている仮想基盤は、まさにVMware製品で構成されたSDDC (Software Defined Datacenter)です。豊富なナレッジが蓄積されてそうです!
4回目は、カスタムダッシュボード設計の参考にしていただきたく、数社の管理パック画面をご紹介します。お楽しみに!

vExpert

 

ソフトバンク C&Sのサイトで仮想化健康診断の事例を紹介しています。運用のヒントになるかもしれません。
詳細についは、以下↓↓アイコン↓↓をクリックして下さい!

Logo2

VSAN Cormac Blog ~ VSAN 6.2 パート3 – ソフトウェアチェックサム ~

~ VSAN 6.2 パート3 – ソフトウェアチェックサム ~

本 blog は VMware Storage Business Unit の Cormac Hogan Blog の翻訳になります。 VSAN をより深く知っていただき活用していただく為、本記事の翻訳がお役に立てば幸いです。

次のVSAN 6.2に関する記事として、沢山のお客様がリクエストされていた重要な機能の一つである、”end-to-end software checksum”についてご紹介します。この機能は、基盤となる物理ストレージのメディア上で起こるエラーのために、整合性問題が発生することを回避することが出来ます。VSAN 6.2ではチェックサム機能がデフォルトで有効な設定になっています。また、VMストレージポリシーから、仮想マシン/オブジェクト単位で有効化、無効化することが可能です。お客様は常にこの素晴らしい新しい機能を活用したいと思われていると、我々は考えているので、チェックサム機能をデフォルトで有効にしています。ただし、アプリケーション側で同等の機能が実装されている場合は、この機能を無効化することがあります。

このチェックサム機能に関するポリシールールは、”Disable object checksum”と呼ばれています。以下に示す様に、VMストレージポリシーを作成する際に選択され、無効になります。それ以外の場合は常に有効になっております。

vsan_umetanisan01

 

VSAN上のチェックサムの概要について

VSAN上のチェックサムは、Intelプロセッサ上で特殊なCPU命令を利用して、最高のパフォーマンスを得る為に、とても一般的な巡回冗長性チェックCRC−32C(Castagnoli)を使用して実装されています。全ての4KBブロックは、それに関連付けられたチェックサムを持ちます。そのチェックサムは5バイトです。データが書かれた時にチェックサムは、万が一データがネットワーク通信中に任意の破損がある場合に、データを同じホスト上で検知することを保証します。チェックサムはデータで保持されます。

データの後続読み取りがされる過程で、もしチェックサムが有効な設定であれば、チェックサムデータもリクエストされます。もしたった今読まれたデータブロックが破損していることをチェックサムが検知した場合、RAID−1オブジェクトのケースにおいては、正しいデータを他のレプリカ/ミラーデータから読み込まれます。RAID−5, RAID−6のオブジェクトのケースでは、データブロックは、RAIDストライプの他のコンポーネントから再構成されます。エラーは、VMが稼働するホストだけでなく、コンポーネントがエラーを出力した機器を含んでいるホスト上のvmkernel.log ファイルにログされます。以下の例では、ランダムパターンのデータ上に、意図的にゼロデータを上書きして、ゲストOSからデータを読み込んでいます。

2016-02-16T07:31:44.082Z cpu0:33075)LSOM: RCDomCompletion:6706: \
Throttled: Checksum error detected on component \
a3fbc156-3573-4f2c-f257-0050560217f4 \
(computed CRC 0x6e4179d7 != saved CRC 0x0)

2016-02-16T07:31:44.086Z cpu0:33223)LSOM: LSOMScrubReadComplete:1958: \
Throttled: Checksum error detected on component \
a3fbc156-3573-4f2c-f257-0050560217f4, data offset 524288 \
(computed CRC 0x6e4179d7 != saved CRC 0x0)

2016-02-16T07:31:44.096Z cpu1:82528)WARNING: DOM: \
DOMScrubberAddCompErrorFixedVob:327: Virtual SAN detected and fixed a \
medium or checksum error for component \
a3fbc156-3573-4f2c-f257-0050560217f4 \
on disk group 521f5f1b-c59a-0fe2-bdc0-d1236798437c

スクラバーメカニズム

リード処理上でのチェックサム検証と並行して、VSANは、ディスク上のデータが如何なるサイレントコラプションも発生していないということをチェックする為のスクラバー機能を実装しています。このスクラバー機能は、年に一度全てのデータをチェックするように設計されています。しかしより頻繁に実行する為には、アドバンスドセッティングのVSAN.ObjectScrubsPerYear設定にて変更することが出来ます。もし全てのデータを毎週チェックしたい場合は、このパラメータを”52”に設定することで実現できます。しかしこの設定を行うことにより、いくつかのパフォーマンスのオーバーヘッドが発生することに気にしておく必要があります。

まとめ

チェックサムは、RAID−5/RAID−6, 重複排除、圧縮、ストレッチクラスタ構成といった、VSANの新しい機能すべてをフルサポートしています。上記の通り、それはデフォルトで有効設定になるので、お客様は設定を追加することなく、簡単にそのメリットを得られます。そして、もし何らかの理由により、チェックサム機能を利用したくない場合には、上記の通りVMストレージポリシーで簡単に無効化することが出来ます。この機能はVSANを利用するお客様に対して、一般的な物理ディスク障害による潜在的なセクターエラーや、その他サイレントデータコラプションによるデータ破損を検出することが出来ます。

原文:VSAN 6.2 Part 3 – Software Checksum
VMware Storage and Availability Business Unitの シニアスタッフエンジニアCormac Horganの個人ブログを翻訳したものになります。VSANの詳細に関しては弊社マニュアル 、KBをご確認ください。また本記事は VSAN 6.2ベースに記載しております。予めご了承ください。

第1回 VMware Virtual SAN(VSAN)搭載アプライアンスVxRailとは? ~Vxrail & VSAN Overview ~

ハイパーコンバージドインフラを実現するアプライアンスVxRailとは?

みなさんこんにちは、富士ソフトの山本祥正です。今回は昨今注目を浴びているハイパーコンバージドインフラを実現するアプライアンス「VxRail」を5回 に分けてご紹介します。 今回はVxRailと通常のvSphere + VSAN構成の違い、VxRailの導入について紹介していきたいと思います。

YoshimasaYamamoto

VxRailによるハイパーコンバージドインフラ

VMwareではハイパーコンバージドインフラを実現するソフトウェアスタックをハイパーコンバージドソフトウェアと呼んでいます。 ハイパーコンバージドソフトウェアは、vCenter Server、vSphere、VSANの3つになります。

ハイパーコンバージドインフラは従来通りサーバーにハイパーコンバージドソフトウェアを導入し実現することも可能ですが、VxRailにて実現することも可能です。 VxRailはハイパーコンバージドソフトウェアだけではなく統合管理ソフトウェアや、データ管理ソフトウェア、リモート保守が入っており、これらが一体化したアプライアンスとして提供されています。

VxRailを利用することでより簡単にハイパーコンバージドインフラ実現できます。

ブレない製品コンセプト(簡単導入・簡単管理・簡単拡張)

アプライアンスとして提供されるVxRailでは簡単導入、簡単管理、簡単拡張の3つのポイントが基本コンセプトになっています。 初期設定から完全にGUIが利用できて、さらに当然のことながら日本語です。 シンプル&グラフィカルなVxRail ManagerでvSphereの統合管理が可能です。

08

もちろんvSphereと同様の運用がしたければvSphere Web Client(及びvSphere Client)を利用することも可能です。 ハードウェアの管理もこのVxRail Managerで統合管理できるようになりました。

簡単導入の部分を少し掘り下げてみていきましょう。 VxRailは導入時の事前チェックプロセスが洗練されています。例えば指定されたVSANネットワークが正しく通信できない場合や、DNSサーバーやNTPサーバーへきちんと疎通ができない場合は警告が促されるようになっています。

error_2

初期セットアップのトラブルの殆どがネットワーク関連の設定不足や設定ミスだったと言う経験から実装された検証機能なのかと思います。これでさらに導入がシンプル&スマートになるでしょう。

そして管理面ではシャットダウンがGUI上のボタン1つで可能になっているため、メンテナンス時などの電源操作をシンプルに行うことができます。しかも、実際にシャットダウンする前には「正常な状態であるか」をきちんとチェックしてくれます。問答無用で電源断するようなことは無いので、この点でも安心&確実な運用を支援してくれるはずです。

shutdown

ラインナップの充実!!

現在のVxRailでは1CPUのローエンドモデルとオールフラッシュモデルが追加されて用途にあったモデルを選びやすくなっています。

(2016年7月27日現在)

Hybrid-vxrail

allflash-vxrail

また2台目以降のアプライアンスは4ノード単位ではなく1ノード単位での増設が可能です。またディスクスロットに空きがあればディスク単位での追加が可能になりますし、その後にも色々な機能拡張が予定されています。

今回はVxRailのイントロダクションとして、ここまでにしておきたいと思います。次回以降、初期セットアップや管理画面の操作性、ゲストOSの作成・管理、拡張などをご紹介してきたいと思いますのでご期待下さい。

VxRail ブログ ~ 全 6回 ~

#1…VxRail & VSAN Overview

#2…VxRail インストール

#3…VxRail の運用と管理:前編 VxRail Managerのご紹介

#4…VxRail の運用と管理:後編 運用についての良くあるご質問

#5…VxRail によるデータ管理の向上

#6…VxRail のサイジングと設定について

 

<Related Link>

関連リンク:富士ソフト VMware仮想化ソリューション